Хакеры-невидимки: почему китайская Flax Typhoon проникает в системы жертв и больше ничего не делает?
Следы проникновения есть, а последующих действий — нет. Что скрывается за столь странной тактикой?
Компания Microsoft сообщила о новой шпионской операции, проводимой хакерами, связанными с правительством Китая. Целью группы, которую Microsoft назвала Flax Typhoon, являются десятки организаций на Тайване, а сами хакеры активны с середины 2021 года.
По словам Microsoft, злоумышленники стремятся не только шпионить за целевыми тайваньскими организациями, но и «поддерживать доступ к организациям в широком спектре отраслей как можно дольше».
Основные цели хакеров — правительственные учреждения, а также организации в сфере образования, производства и информационных технологий. Однако жертвы есть и в Юго-Восточной Азии, Северной Америке и Африке.
По словам Microsoft, хакеры используют встроенные средства операционной системы и некоторое легитимное ПО, чтобы тихо оставаться в сетях целевых организаций. При этом компания пока не наблюдала дальнейших действий хакеров после получения доступа.
Возможно, хакеры Flax Typhoon действуют как брокеры удалённого доступа (IAB), задачей которых является лишь получения постоянного скрытного доступа к целевой системе, после чего он продаётся другим киберпреступным объединениям.
Как сообщается, рассмотренная вредоносная операция — лишь одна из нескольких, выявленных после того, как Пекин усилил риторику о «воссоединении» Тайваня с материковым Китаем.
Некоторые данные свидетельствуют о том, что в деятельности этой группы есть совпадения с деятельностью другого киберпреступного объединения, идентифицированного специалистами Crowdstrike как Ethereal Panda.
Microsoft заявила, что решила опубликовать этот последний отчёт из-за «серьёзной озабоченности» по поводу последующего воздействия, которое такие атаки могут оказать на клиентов компании, ведь в рассмотренной операции даже не было видимости других аспектов деятельности злоумышленника.
Подобная тактика проникновения без атаки чрезвычайно затрудняет обнаружение и смягчение последствий, а также требует закрытия или изменения учётных данных скомпрометированных учётных записей.
Microsoft призвала пострадавшие организации оценить масштабы активности Flax Typhoon в своей сети, удалить вредоносные инструменты и проверить журналы на наличие скомпрометированных учётных записей.
А вот других исследователей безопасности компания из Редмонда попросила ознакомиться со своими выводами, чтобы совместными усилиями найти оптимальное защитное решение, обезопасив сотни потенциальных жертв.
Цифровые следы - ваша слабость, и хакеры это знают.